Όλοι θέλουμε να έχουμε μια ασφαλή ιστοσελίδα, χωρίς κενά ασφάλειας και ανεπιθύμητες καταστάσεις από κακόβουλες επιθέσεις. Αυτός ο οδηγός θα σας εξηγήσει από την αρχή της ιστοσελίδας τα βήματα για την θωράκιση της.
Ασφάλεια WordPress βήμα βήμα
1 Επιλογή κατάλληλου Hosting
Η επιλογή του Hosting είναι το βασικότερο μέρος της υποδομής ασφάλειας που θα δημιουργήσετε. Χρειάζεστε καθημερινό Backup, λειτουργίες Firwall, Virus Scaning, και Antispam. Επίσης όταν μιλάμε για WordPress ιστοσελίδα θα πρέπει μεταξύ του λειτουργικού Plesk ή Cpanel διαθέτουν οι Servers να επιλέξετε Plesk Obsibian.
Το Plesk εκτός πολλών λειτουργιών που υπερέχουν μακράν του Cpanel διαθέτουν ένα σημαντικό εργαλείο για το WordPress Tool Kit το οποίο θα σας βοηθήσει σημαντικά στην ασφάλεια και την συντήρηση του WordPress.
2 Απόκρυψη σελίδας εισόδου
Το WordPress έρχετε με μια στάνταρ σελίδα εισόδου στην διαχείριση την σελίδα wp-login.php. Είτε πληκτρολογήσετε αυτήν την σελίδα (www.mydomain.gr/wp-login.gr) ή (www.mydomain.gr/admin) ή (www.mydomain.gr/wp-admin) θα βρεθείτε στην σελίδα εισαγωγής διαπιστευτηρίων
Εδώ είναι το σημείο που ένας επιτιθέμενος θα ξεκινήσει μια επίθεση. Να θυμάστε ότι οι Hackers το πρώτο που κάνουν είναι να μαντέψουν συνηθισμένα username και ανίσχυρα passwords. Ένα βήμα λοιπόν ώστε να δυσκολέψουμε αυτήν την διαδικασία είναι να αποκρύψουμε αυτήν την σελίδα και να την μετονομάσουμε σε μια σελίδα που ξέρουμε μόνο εμείς.
Αυτό επιτυγχάνετε με ένα πρόσθετο που θα κάνει αυτήν την αλλαγή. Ένα από αυτά που χρησιμοποιώ εγώ είναι το WPS Hide Login
3 User name & Passwords
Πάρα πολλές φορές συναντώ user name (admin) και ανίσχυρα passwords (1234567). Είναι το σημείο μηδέν της ασφάλειας. Το user name δεν πρέπει ποτέ να είναι (Admin) ή το όνομα του Domain Name σας. Το password θα πρέπει να περιέχει Control χαρακτήρες (!@#$%^&*) γράμματα πεζά, γράμματα κεφαλαία και αριθμούς.
4 Απενεργοποίηση XMLRPC – Comments – WP Version
Θα πρέπει να κλείσετε όλες τις πηγές πληροφοριών για την επίθεση που θα ήθελε κάποιος να κάνει. Τ αρχείο Xmlrpc δίνει πολύ χρήσιμες πληροφορίες στον επιτιθέμενο όπως και η έκδοση WordPress που χρησιμοποιείτε.
Τα σχόλια είναι επίσης ένα σημείο εμφύτευσης κακόβουλων link ή Malware. Αν δεν υπάρχει σημαντικός λόγος να έχετε σχόλια απενεργοποιήστε τα. Μπορείτε να χρησιμοποιήσετε τα έξεις πρόσθετα:
5 Εγκατάσταση Firewall
Ένα τοίχος προστασίας θα δημιουργήσει μια ασπίδα στην ιστοσελίδα σας, περιέχοντας και πολλά από τα παραπάνω. Θα σας ειδοποιεί κάθε φορά που αποτρέπει μια επίθεση και θα σκανάρει καθημερινά την ιστοσελίδα σας για κακόβουλες επιθέσεις και θα σας συμβουλεύει για ενέργειες που πρέπει να πραγματοποιήσετε.
Θα μπορούσα να γράψω ένα άρθρο μόνο για το Wordfence το κορυφαίο Firewall για WordPress. Είναι άπειρες οι φορές που με προειδοποίησε και απέτρεψε εκατομμύρια επιθέσεις σε πάνω από 200 site που το έχω εγκαταστήσει. Η συμβολή του δεν στην ανακάλυψη ευπαθειών σε πρόσθετα και θέματα του WordPress είναι τεράστια. Απλά εγκαταστήστε το.
6 Updates Updates Updates
Αυτήν την στιγμή που μιλάμε το 83% των WordPress δεν είναι ενημερωμένες στις τελευταίες εκδόσεις. Φανταστείτε ότι αυτές οι ενημερώσεις κατά το 80% κλείνουν κενά ασφάλειας. Το WordPress κάνει μια ενημέρωση κατά μέσο όρο κάθε 1,5 μήνα. Τα πρόσθετα και τα θέματα συμπαρασύρονται να αναβαθμιστούν και αυτά για να συμβαδίζουν.
Έχω συναντήσει site όπου ο “προγραμματιστής – γραφίστας – ανιψιός – φίλος – Μαρκετίστας” που την έφτιαξε συμβούλεψε τον ιδιοκτήτη να μην κάνει ποτέ update “γιατί θα στραβώσουν όλα”. Δεν υπάρχει αυτό. Αν μια ιστοσελίδα WordPress έχει στηθεί σωστά από άτομο που γνωρίζει το WordPress δεν θα στραβώσει ποτέ. Αντιθέτως όταν είναι πλήρως ενημερωμένη η σελίδα θα είναι πάντα ασφαλής, γρήγορη με μια ευχάριστη εμπειρία πλοήγησης στους επισκέπτες της.
7 Πετάξτε ότι δεν χρησιμοποιείτε
Πρόσθετα ή θέματα που δεν χρησιμοποιείτε μπορεί να μετατραπούν σε εισόδους κακόβουλων επιθέσεων, ή καθυστέρησης ταχύτητας της ιστοσελίδας σας. Οτιδήποτε δεν χρησιμοποιείτε, δεν αρκεί να είναι απενεργοποιημένο θα πρέπει να διαγραφεί. Το λιγότερο κακό είναι να φορτώνει την βάση δεδομένων καθώς όλα τα πρόσθετα δημιουργούν εγγραφές στην βάση δεδομένων.
8 Buck up – Αντίγραφα Ασφαλείας
Όπως είπαμε στην αρχή του άρθρου η επιλογή του Hosting πρέπει να περιέχει δυνατότητα αυτόματων αντιγράφων ασφαλείας καθημερινά για 7 ημέρες. Αν δεν υπάρχει αυτή η δυνατότητα θα πρέπει να εγκαταστήσετε εσείς ένα πρόσθετο που θα διασφαλίσει ότι καθημερινά έχετε ένα αντίγραφο ασφάλειας της ιστοσελίδας σας. Μπορείτε να χρησιμοποιήσετε το UpdraftPlus WordPress Backup
Οδηγός Ασφάλειας WordPress σε 8 βήματα έχει σκοπό να σας βοηθήσει στο να ασφαλίσετε το WordPress site σας. Αν χρειάζεστε περισσότερες πληροφορίες επικοινωνήστε μαζί μας